Budibase — это платформа low-code с открытым исходным кодом. До версии 3.33.4 этап автоматизации bash выполняет предоставленные пользователем команды с использованием execSync без надлежащей очистки или проверки. Пользовательский ввод обрабатывается через процессStringSync, который позволяет интерполяцию шаблонов, потенциально допуская выполнение произвольных команд.
Эта проблема исправлена в версии 3.33.4.
Показать оригинальное описание (EN)
Budibase is an open-source low-code platform. Prior to version 3.33.4, the bash automation step executes user-provided commands using execSync without proper sanitization or validation. User input is processed through processStringSync which allows template interpolation, potentially allowing arbitrary command execution. This issue has been patched in version 3.33.4.
Характеристики атаки
Последствия
Строка CVSS v4.0